安全 金 铺 和 Zero Trust 方法 可 ) 


网 路 钓鱼 所 造成 的 威 霄 


针对 性 网 路 的 灸 攻击 是 组 线 现 信 面 聊 的 最 危 附 威 肖 手 段 之 一 。 


网 路 钓 象 和 社交 工程 攻击 的 目标 是 操纵 人 们 ， 使 其 交 出 敏 威 的 | 
(IdP) 网 站 


资讯 或 存 取 权 。 登 入 兰 证 是 常见 的 目标 。 


这 种 性 质 的 攻 苘 如果 成 功 ， 可 能 会 导致 以 下 情况 : 


帐户 次 用 o 
连 往 更 大 型 供应 链 攻 击 的 连结 
pll 和 IP 等 资料 渗 漏 公司 员工 [2 
勒索 软体 等 恶意 软体 攻击 


乎 运 的 是 ， 有 一 些 极为 有 效 的 解决 方案 可 以 降低 网 路 钩 鳞 的 
风险 。 其 中 一 种 最 重要 的 解决 方案 是 多 重要 素 验 证 (MFA)。 


网 站 


1 : 简讯 网 路 钓鱼 攻击 的 剖析 。1. 传送 看 似 合法 的 简讯 。 
2. 连结 至 看 似 合法 的 网 站 。3. 即时 转送 受害 者 的 逢 证 和 与 限时 单 次 
密码 。4. 登入 真正 的 公司 IdP 网 站 。 


多 重要 素 验 证 (MFA) 如 何 协助 阻 描 网 路 钓鱼 


除了 在 登入 时 输入 使 用 者 名 称 和 常见 的 MFA 实 作 是 使 用 限时 单 次 符合 FIDO2 规范 的 安全 金 锡 一 旦 


密码 以 外 ，MFA 还 要 求 使 用 者 出 
示 金 锡 。 如 果 没有 该 金 欠 ， 使 用 
者 就 无 法 存 取 其 帐户 ， 攻 击 者 也 
一 样 。 


密码 (TOTP) 等 软 式 金 锡 。TOTP 
经 常 是 透 过 简讯 、 电子 季 件 或 应 用 
程式 发 出 。 共 然 软 式 金 钴 比 单 一 要 
素 验 证 更 安全 ， 但 仍 可 能 会 遭 到 攻 
击 者 搓 截 。 
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发 出 ， 攻 击 者 就 扰 法 捆 截 ， 也 线 平 
无 法 在 没有 实体 存 取 的 方式 神 取 。 
Google 的 研究 发 现 ， 使 用 符合 
FIDO2/U2F 规范 的 安全 金 锻 阻 描 了 
100% 的 帐户 接管 当 试 。1 
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选择 性 强制 探 用 增强 式 验 证 


有 些 IAM 解决 方案 可 能 会 支援 增强 式 验 证 ， 但 可 能 不 允许 管理 上 只 实际 要 求 。 透 过 ZTNA， 您 可 以 
确保 要 求 进行 FIDO2 验证 ， 尤 其 是 针对 含有 敏感 次 料 的 应 用 程式 。Cloudflare 会 在 每 次 验证 时 要 
求 安全 金 欠 MFA， 因 此 大 大 强化 了 我 们 的 安全 状态 。 


ss De 


PR SSO 身分 识别 es 
宇 SSO 身分 识别 ”二 ”一 一 ZTNA 服务 
(Q 提供 者 提供 者 个 LS ] 


和 无 论 使 用 者 是 否 能 存 取 敏 威 资料 的 CY 使 用 者 掉 有 应 用 程式 中 敏感 未 合 敏 感 资料 的 
应 用 程式 竟 料 的 存 取 权 应 用 程式 


[在 2022 年 7 月 20 日 ， Cloudflare 安全 性 转 队 接 获 多 次 报告 ， 
说明 员工 收 到 似乎 是 指向 Cloudflare Okta 登入 页面 且 看 似 合法 的 
简讯 ; 趴 然 攻击 者 试图 利用 外 澳 的 得 证 登入 我 们 的 系统 ， 


但 他 们 和 无 法 通过 硬 朋 金 久 要 求 。,? 


past the hard key 
requirement. 


:> CLOUDFLARE 
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在 所 有 地 方 推出 增强 式 验证 


适用 於 您 所 有 应 用 程式 且 符 合 FIDO2 规范 的 MFA 


可 透 过 多 种 传统 方式 对 云端 服务 强制 探 用 MFA， 在 使 用 单 
一 登入 (SSO) 服务 时 尤其 如 此 。 但 是 ， 和 欧式 或 非 Web 应 
用 程式 可 能 认 以 适用 ， 因 为 其 中 有 许多 芷 非 原生 支援 这 种 


符合 FIDO2 规范 的 
叫 安全 金 镁 


有 限 数量 的 网 际 网 路 


和 Saas 应 用 程式 提供 者 


SSO 身分 识别 


0 规范 的 @ 三 符合 FIDO2 规范 的 
一 
| 
从 
| 


透 过 ZTNA 简化 实行 


Zero Trust 网 路 存 取 (ZTNA) 能 移 在 您 所 有 的 资源 中 扒 任 莫 
总 层级 ， 芋 分 别 为 其 启用 矿 格 的 验证 原则 。SaaS、 自 行 旗 
管 和 非 Web 应 用 程式 等 都 可 以 设置 在 ZTNA 后方 ， 以 便 更 
容易 在 所 有 应 用 程式 问 强制 探 用 增强 式 验 证 。 


安全 金 镁 


Zo 


大 部 分 网际 网 路 和 大 部 分 网 际 网 路 和 “ 记 - 任何 自行 旗 管 
(人 3365 诺 用 程式 Saas 应 用 程式 。 全 避 的 应 用 程式 
组 织 实 作 增 强 式 验证 的 关键 要 点 
集中 进行 IAM 选择 性 强制 探 用 MFA 支援 行动 装置 


将 身分 识别 与 存 取 管理 (IAM) 集中 
进行 ， 以 便 更 容易 在 所 有 应 用 程式 
间 实 作 MFA 。 


加 速 您 的 Zero Trust 蓝图 


申请 架构 研讨 会 


依据 身分 识别 与 内 容 ， 建 立 选择 性 
强制 探 用 MFA 选项 (TOTP 和 
FIDO2 ;或 仅 限 FIDO2) 。 


针对 笔记 型 电脑 、 桌 上 型 电脑 、 
伺服 器 和 行动 装置 等 ， 核 发 
FIDO2 解决 方案 。 


还 没准 人 备 好 进行 
评估 吗 ? 
申请 免费 试用 。 


1. krebsonsecurity.com/2018/07/google-security-keys-neutralized-employee-phishing/ 


2. ”2022 年 8 月 9 日 Cloudflare 部 落 格 文章 「 复 杂 网 路 仪 鱼 许 晴 的 机 制 ， 以 及 我 们 的 阻止 方式 」 (The mechanics of a sophisticated phishing scam and how we 


stopped it) : blog.cloudflare.com/2022-07-sms-phishing-attacks/ 
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